网络工程 - 思科扩展 ACL 根据规则不允许流量 - 吾爱随笔录

思科扩展 ACL 根据规则不允许流量

网络工程思科思科-ios acl 思科命令

2022-02-20 05:12:34

这是我的网络拓扑图：

底部概述的网络实际上是在交换机 S1 和 S3 上定义的 vlan 10、20、30、40、50。网络的路由器 R3 和 R2 具有用于 vlan 10、20、30、40、50 的子接口 fa0/1.10、20、30、40、50。

我正在处理路由器 r3 的访问列表。

我想允许从主机 192.168.2.2 到 192.168.1.2 的端口 2016 以及从主机 192.168.1.2 到主机 192.168.2.2 的端口 2014 访问。

这是我到目前为止所拥有的：

Extended IP access list 100
    10 permit tcp host 192.168.2.2 host 192.168.1.2 eq 2016 (38 matches)
    20 permit tcp host 192.168.2.2 host 192.168.1.2 eq 2016 established
    30 permit icmp any any (17 matches)

Extended IP access list 101
    10 permit tcp host 192.168.1.2 host 192.168.2.2 eq 2014 (3 matches)
    20 permit tcp host 192.168.1.2 host 192.168.2.2 eq 2014 established
    30 permit icmp any any (6 matches)

我使用以下命令应用它们：

int fa0/1.30
ip access-group 100 in
int fa0/1.20
ip access-group 101 in

我用netcat测试了它，发现它不起作用。

2个回答

路由器上的 ACL 不像防火墙上的那样是全状态的。这意味着您需要规则来允许双向交通。
TCP 连接在服务器端使用一个众所周知的端口，并且通常选择一个随机端口作为连接源。

您的要求。

host 192.168.2.2 --> host 192.168.1.2:2016
and 
host 192.168.1.2 --> host 192.168.2.2:2014

您的设置

int fa0/1.30 !Assume 192.168.2.0/24 subnet
  ip access-group 100 in
!
int fa0/1.20 !Assume 192.168.1.0/24 subnet
  ip access-group 101 in

ACL 的：

Extended IP access list 100
10 permit tcp host 192.168.2.2         host 192.168.1.2 eq 2016 
20 permit tcp host 192.168.2.2 eq 2014 host 192.168.1.2 
30 permit icmp any any

Extended IP access list 101
10 permit tcp host 192.168.1.2 eq 2016 host 192.168.2.2
20 permit tcp host 192.168.1.2         host 192.168.2.2 eq 2014
30 permit icmp any any

注意：请记住，返回的流量还将在其进入的接口上遍历 ACL。

您的应用程序可能有错误的端口。尝试添加。” Permit ip any any log” 生成的流量比“show logging | inc 192.168.xx” 这将向您显示允许的内容。警告如果这有很多流量，这可能会导致路由器上的 CPU 过高。不仅仅是相应地添加规则。

其它你可能感兴趣的问题

上一篇从 cisco nexus 交换机上的 SPAN 会话中删除源端口下一篇配置 Cisco 4500 系列以将 DHCP 绑定信息发送到系统日志服务器？